Lei de Resiliência Operacional Digital (DORA)
A Lei de Resiliência Operacional Digital (DORA) é uma regulamentação da União Europeia (UE) que cria uma estrutura de gerenciamento de risco de Tecnologia da Informação e Comunicação (TIC) abrangente e vinculativa para o setor financeiro da UE. A DORA se aplica a todas as instituições financeiras e provedores de serviços de TIC (coletivamente, IFs) na UE. As IFs têm até 17 de janeiro de 2025 para cumprir a DORA antes do início da aplicação.
A plataforma Distributed Cloud (XC) da F5 ajuda as instituições financeiras a cumprir a DORA. Serviços como XC DDoS Mitigation, XC WAF, XC API Security e XC Bot Defense ajudam as instituições financeiras a detectar, registrar e mitigar ameaças cibernéticas e atividades anômalas em seus aplicativos móveis e da web, bem como em seus dados e infraestrutura de rede. A Plataforma de Nuvem Distribuída também permite que as IFs monitorem, auditem e relatem suas atividades de gerenciamento de risco de TIC e cumpram os requisitos de governança e supervisão da DORA. Ao aproveitar a F5 Distributed Cloud Platform, as IFs podem obter resiliência operacional, proteger seus clientes e reputação e evitar sanções regulatórias diante do aumento de ameaças cibernéticas e interrupções de TIC.
PERGUNTAS FREQUENTES
Quais medidas de segurança específicas a F5 fornece para dados pessoais?
A F5 e seus serviços priorizam a proteção de dados pessoais e mantêm os mais altos padrões de privacidade de dados. Os controles técnicos e organizacionais que protegem os dados pessoais coletados pela F5 estão listados nos contratos de serviço específicos (por exemplo, os Termos Específicos do Serviço aplicáveis aos serviços fornecidos sob nosso Contrato de Serviços ao Usuário Final) e no relatório SOC2 Tipo II da F5. O F5 Global Support é certificado pela ISO 27001 e o F5 Distributed Cloud Services é certificado pela ISO 27001 com uma extensão de ISO 27017 e ISO 27018. A F5 também é compatível com PCI-DSS como Provedora de Serviços de Nível 1 para os Serviços de Nuvem Distribuída F5. Certificações de segurança adicionais se aplicam a serviços F5 específicos e hardware F5. Encontre informações mais detalhadas sobre práticas de segurança de dados em https://www.f5.com/company/policies/privacy-notice .
Como a F5 e seus clientes atendem aos requisitos do Capítulo V do GDPR e requisitos semelhantes sob a legislação do Reino Unido e da Suíça em relação às transferências de dados pessoais para os EUA e outros países?
Clientes cujo principal local de negócios é na Europa, Oriente Médio ou África (coletivamente, EMEA) recebem serviços por meio de contratos com a F5 Networks, Ltd. A F5 Networks, sediada e incorporada sob as leis do Reino Unido, é o centro das operações da F5 na EMEA. As autoridades da UE e da Suíça reconheceram que as leis do Reino Unido fornecem proteção para dados pessoais, satisfazendo totalmente os requisitos do Capítulo V do RGPD e da lei suíça equivalente.
Clientes sediados na região da Ásia-Pacífico (APAC) contratam a F5 Networks Singapore Pte Ltd. em Cingapura. Todos os outros clientes (incluindo aqueles com sede na América do Norte) têm contrato com a F5, Inc. nos Estados Unidos. Para todos os serviços da F5, o Adendo de Proteção de Dados (DPA) , complementado pelos Termos Específicos do Serviço , inclui as Cláusulas Contratuais Padrão e disposições que se aplicam a todas as transferências legalmente aplicáveis à F5. Estas Cláusulas Contratuais Padrão são acompanhadas pelo adendo de transferência internacional de dados publicado pelo governo do Reino Unido para transferências no Reino Unido, bem como por linguagem adicional publicada pelo Comissário Federal Suíço de Proteção de Dados e Informações para transferências na Suíça. Para serviços relevantes, a F5 também mantém uma certificação sob a UE-EUA Estrutura de Privacidade de Dados, a Extensão do Reino Unido para a UE-EUA Estrutura de Privacidade de Dados e a Suíça-EUA Estrutura de Privacidade de Dados.
A F5 é certificada pelo Data Privacy Framework?
Sim. Para serviços relevantes, a F5 mantém uma certificação sob a UE-EUA. Estrutura de Privacidade de Dados, a extensão do Reino Unido para a UE-EUA. Estrutura de Privacidade de Dados e a Suíça-EUA. Estrutura de Privacidade de Dados.
Os EUA... A Seção 702 da Lei de Vigilância de Inteligência Estrangeira (“FISA”) e a Ordem Executiva (EO) 12333 discutidas na decisão Schrems II afetam o F5?
Não. Essas duas disposições legais dos EUA, que foram o foco da decisão Schrems II , não afetam o F5. Em qualquer caso, devido às melhorias na legislação dos EUA após a decisão Schrems II , a Comissão Europeia determinou na sua Decisão de Execução de 10.7.2023, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho sobre o nível adequado de proteção de dados pessoais no âmbito da UE-EUA Estrutura de Privacidade de Dados que as preocupações anteriores sobre essas disposições foram resolvidas. O Conselho Europeu de Proteção de Dados (EDPB) analisou a decisão da Comissão Europeia e observou (em sua nota informativa sobre transferências de dados sob o GDPR para os Estados Unidos após a adoção da decisão de adequação em 10 de julho de 2023 ) que “todas as salvaguardas que foram colocadas em prática pelo governo dos EUA na área de segurança nacional (incluindo o mecanismo de reparação) se aplicam a todos os dados transferidos para os EUA, independentemente da ferramenta de transferência usada” (ou seja, independentemente de os dados serem transferidos para os Estados Unidos por meio do Data Privacy Framework, Cláusulas Contratuais Padrão ou outra ferramenta de transferência).
A F5 nunca recebeu uma solicitação de acesso a dados ou qualquer outro tipo de diretiva sob a FISA 702. Muitos serviços F5 não são o tipo de serviço elegível para serem alvos de uma diretiva FISA 702. Além disso, para quase todos os clientes dos serviços da F5, a F5 não processa o tipo de dados que são elegíveis para serem alvos com uma diretiva FISA 702, que se aplica a dados sobre a proliferação de armas de destruição em massa, planos de potências estrangeiras para ataques aos Estados Unidos, inteligência sobre atividades clandestinas de espiões estrangeiros ou outras “informações de inteligência estrangeira” no sentido da FISA.
A F5 também não pode receber uma ordem para produzir dados do cliente sob EO 12333 porque não existe uma ordem EO 12333. A EO 12333 atribui certa responsabilidade dentro da Comunidade de Inteligência dos Estados Unidos, mas não impõe nenhuma obrigação ao setor privado. O F5 criptografa dados em trânsito e usa medidas de segurança adicionais para proteger contra as atividades teóricas de interceptação que preocupavam o tribunal Schrems II antes da determinação de adequação da Comissão Europeia de 2023 discutida acima.
Como os EUA... A Lei de Esclarecimento sobre o Uso Legal de Dados no Exterior (“CLOUD”) de 2018 afeta a capacidade do governo dos EUA de exigir acesso aos dados?
O CLOUD Act não deu ao governo dos EUA novos poderes para exigir dados de empresas que fazem negócios nos Estados Unidos. O governo dos EUA não emite “ordens do CLOUD Act” e a F5 nunca recebeu nenhuma. O CLOUD Act esclareceu que, quando o governo dos EUA segue um processo legal existente apropriado (como obter uma ordem de um juiz do tribunal distrital federal) para instruir uma empresa a fornecer dados específicos em sua posse, custódia ou controle, a localização dos dados não pode ser a base para a contestação da empresa à ordem (embora ainda possa haver um conflito com as leis em vigor em tal local). A Lei CLOUD está em vigor desde antes da decisão Schrems II de 2020. Após a decisão Schrems II , os Estados Unidos fizeram várias melhorias em suas regras e práticas relacionadas ao acesso governamental aos dados. A Comissão Europeia avaliou então essas melhorias e determinou que a lei dos EUA aplicável às demandas de dados do governo dos EUA agora fornece um nível adequado de proteção dentro do significado do GDPR. Ver Decisão de Execução de 10.7.2023 nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho relativo ao nível adequado de proteção de dados pessoais no âmbito da UE-EUA. Estrutura de Privacidade de Dados . O Conselho Europeu de Proteção de Dados (EDPB) analisou esta decisão e observou (na sua nota informativa sobre transferências de dados ao abrigo do RGPD para os Estados Unidos após a adoção da decisão de adequação em 10 de julho de 2023 ) que “todas as salvaguardas que foram colocadas em prática pelo governo dos EUA na área da segurança nacional (incluindo o mecanismo de reparação) aplicam-se a todos os dados transferidos para os EUA, independentemente da ferramenta de transferência utilizada” (ou seja, independentemente de os dados serem transferidos para os Estados Unidos através do Quadro de Privacidade de Dados, Cláusulas Contratuais Padrão ou outra ferramenta de transferência).
Como os clientes podem ter certeza de que os mecanismos adequados de transferência de dados transfronteiriços estão em vigor com a F5?
Cada contrato de cliente para os serviços da F5 (o Contrato de Serviços ao Usuário Final (EUSA) ) inclui Termos Específicos de Serviço que incorporam e complementam o Adendo de Proteção de Dados (DPA) da F5, que inclui as Cláusulas Contratuais Padrão com linguagem adicional relevante para transferências sujeitas à lei do Reino Unido ou Suíça. Em certos casos, o cliente e a F5 terão um contrato diferente que incorpora essas mesmas proteções, como o contrato para serviços de suporte específicos da F5. Os clientes também podem consultar https://www.dataprivacyframework.gov/list , que mostra que a F5 foi certificada pela UE-EUA Estrutura de Privacidade de Dados, a Extensão do Reino Unido para a UE-EUA Estrutura de Privacidade de Dados e a Suíça-EUA Estrutura de Privacidade de Dados.
Como a F5 e seus clientes abordam as transferências de dados pessoais sujeitos à lei de proteção de dados do Reino Unido?
Para transferências para entidades F5 em “países terceiros”, incluindo o Reino Unido, a F5 e seus clientes contam com o Adendo de Transferência Internacional de Dados às Cláusulas Contratuais Padrão da Comissão da UE, que está disponível no site do Comissário de Informações do Reino Unido e é incorporado por referência no DPA da F5 para transferências relevantes regidas pela lei do Reino Unido. Além disso, para determinados serviços, a F5 é certificada pela Extensão do Reino Unido para a UE-EUA Estrutura de Privacidade de Dados.
